Editorial: "Unmasking penyabot cyber, siapa pun mereka
SETIAP tahun cacing komputer muncul untuk tangkai internet, masing-masing tampaknya lebih besar dan badder daripada yang terakhir (lihat diagram). Meskipun mereka tampaknya datang entah dari mana, setiap bit baru malware memiliki sejarah. Sussing keluar kemiripan keluarga bisa menghasilkan respon lebih cepat terhadap ancaman di masa depan.
"Visi kami adalah untuk memiliki database malware di dunia, yang dapat digunakan orang untuk berbagi wawasan," kata Josh Saxe dari Invincea laboratorium di Fairfax, Virginia. Skema perusahaannya didasarkan pada metode baru untuk mengklasifikasikan malware, hacker program digunakan untuk mencuri password, mengirim spam dan melaksanakan kegiatan keji lainnya.
Malware diproduksi pada tingkat yang menakjubkan bahwa para ahli keamanan sudah memiliki sistem otomatis untuk mengklasifikasi strain baru. Tapi banyak dari rencana mereka didasarkan pada analisis kode malware, yang hacker sering dapat menyamar. Pendekatan baru berfokus bukan pada perilaku malware itu sendiri.
Saxe dan koleganya menguji ide-ide mereka di lebih dari 100.000 sampel malware yang dikumpulkan antara bulan Februari 2011 dan Juni 2012. Tim berlari setiap bagian dari malware dan login komunikasi antara perangkat lunak dan mesin itu berjalan pada. Komunikasi ini terdiri dari "panggilan", seperti permintaan untuk membaca isi dari file tertentu. Strain individu sering menghasilkan puluhan ribu panggilan tersebut.
Setelah menonton perilaku banyak strain, Saxe dan rekan mampu mematahkan komunikasi data ke dalam blok yang berisi urutan tertentu panggilan yang terjadi berulang kali di seluruh sampel yang berbeda. Blok ini merupakan konsekuensi dari penulis malware menggunakan kembali kode dari strain yang lebih tua. Tim menggunakan blok ini untuk mengklasifikasikan strain dan mengelompokkan mereka ke dalam apa yang disebut Saxe "keluarga malware". Dia mempresentasikan karyanya bulan lalu pada konferensi Sistem Pemrosesan Informasi Neural di Danau Tahoe, Nevada.
Analis akan dapat menggunakan katalog keluarga malware untuk berbagi informasi tentang ancaman baru. Alat tersebut bisa sangat berguna, karena banyak kolaborasi yang terjadi dalam komunitas keamanan ad hoc. Kelompok peneliti terkadang bersatu untuk mengatasi ancaman baru, tetapi analisis rinci strain muncul cenderung terjadi secara paralel dan independen.
Sistem Invincea menawarkan alternatif. Analis dapat melampirkan catatan ke blok panggilan urutan dan, jika strain baru memproduksi blok yang sama, mereka catatan pop up. Hal ini harus memungkinkan orang lain untuk mendapatkan untuk mengatasi dengan strain yang lebih cepat.
Analis juga harus mampu memvisualisasikan kelompok keluarga malware, yang dapat membantu menentukan nenek moyang dan penulis strain baru, kata Gunter Ollmann, kepala kantor teknologi di IOActive di Seattle. Tapi ia memperingatkan bahwa berbagi tersebut dapat terhambat oleh perbedaan teknis antara analis 'set-up.
Proyek Invincea adalah salah satu dari beberapa yang didanai melalui Program Genome Cyber, dijalankan oleh Riset Pertahanan Projects Agency AS Lanjutan. Hasilnya, banyak yang belum dipublikasikan, akan digunakan untuk mengamankan jaringan komputer dijalankan oleh Departemen Pertahanan.
"Kami sedang berusaha untuk memungkinkan orang untuk membuat pilihan yang lebih cerdas tentang apa yang harus menganalisis untuk menghindari pengulangan," kata Saxe. "Kami sedang berusaha untuk memperbanyak efektivitas analis."
Saripati Multimedia
SETIAP tahun cacing komputer muncul untuk tangkai internet, masing-masing tampaknya lebih besar dan badder daripada yang terakhir (lihat diagram). Meskipun mereka tampaknya datang entah dari mana, setiap bit baru malware memiliki sejarah. Sussing keluar kemiripan keluarga bisa menghasilkan respon lebih cepat terhadap ancaman di masa depan.
"Visi kami adalah untuk memiliki database malware di dunia, yang dapat digunakan orang untuk berbagi wawasan," kata Josh Saxe dari Invincea laboratorium di Fairfax, Virginia. Skema perusahaannya didasarkan pada metode baru untuk mengklasifikasikan malware, hacker program digunakan untuk mencuri password, mengirim spam dan melaksanakan kegiatan keji lainnya.
Malware diproduksi pada tingkat yang menakjubkan bahwa para ahli keamanan sudah memiliki sistem otomatis untuk mengklasifikasi strain baru. Tapi banyak dari rencana mereka didasarkan pada analisis kode malware, yang hacker sering dapat menyamar. Pendekatan baru berfokus bukan pada perilaku malware itu sendiri.
Saxe dan koleganya menguji ide-ide mereka di lebih dari 100.000 sampel malware yang dikumpulkan antara bulan Februari 2011 dan Juni 2012. Tim berlari setiap bagian dari malware dan login komunikasi antara perangkat lunak dan mesin itu berjalan pada. Komunikasi ini terdiri dari "panggilan", seperti permintaan untuk membaca isi dari file tertentu. Strain individu sering menghasilkan puluhan ribu panggilan tersebut.
Setelah menonton perilaku banyak strain, Saxe dan rekan mampu mematahkan komunikasi data ke dalam blok yang berisi urutan tertentu panggilan yang terjadi berulang kali di seluruh sampel yang berbeda. Blok ini merupakan konsekuensi dari penulis malware menggunakan kembali kode dari strain yang lebih tua. Tim menggunakan blok ini untuk mengklasifikasikan strain dan mengelompokkan mereka ke dalam apa yang disebut Saxe "keluarga malware". Dia mempresentasikan karyanya bulan lalu pada konferensi Sistem Pemrosesan Informasi Neural di Danau Tahoe, Nevada.
Analis akan dapat menggunakan katalog keluarga malware untuk berbagi informasi tentang ancaman baru. Alat tersebut bisa sangat berguna, karena banyak kolaborasi yang terjadi dalam komunitas keamanan ad hoc. Kelompok peneliti terkadang bersatu untuk mengatasi ancaman baru, tetapi analisis rinci strain muncul cenderung terjadi secara paralel dan independen.
Sistem Invincea menawarkan alternatif. Analis dapat melampirkan catatan ke blok panggilan urutan dan, jika strain baru memproduksi blok yang sama, mereka catatan pop up. Hal ini harus memungkinkan orang lain untuk mendapatkan untuk mengatasi dengan strain yang lebih cepat.
Analis juga harus mampu memvisualisasikan kelompok keluarga malware, yang dapat membantu menentukan nenek moyang dan penulis strain baru, kata Gunter Ollmann, kepala kantor teknologi di IOActive di Seattle. Tapi ia memperingatkan bahwa berbagi tersebut dapat terhambat oleh perbedaan teknis antara analis 'set-up.
Proyek Invincea adalah salah satu dari beberapa yang didanai melalui Program Genome Cyber, dijalankan oleh Riset Pertahanan Projects Agency AS Lanjutan. Hasilnya, banyak yang belum dipublikasikan, akan digunakan untuk mengamankan jaringan komputer dijalankan oleh Departemen Pertahanan.
"Kami sedang berusaha untuk memungkinkan orang untuk membuat pilihan yang lebih cerdas tentang apa yang harus menganalisis untuk menghindari pengulangan," kata Saxe. "Kami sedang berusaha untuk memperbanyak efektivitas analis."
Saripati Multimedia
Komentar
Posting Komentar